中国香港个人资料私隐专员发布《数据处理正当性》研究报告

中国香港個人資料私隱專員（私隱專員）黃繼兒昨日（10月23日）於比利時布魯塞爾舉行的第四十屆國際資料保障及私隱專員會議的活動上發布「處理數據的正當性」研究報告（Report of the Legitimacy of Data Processing Project），簡介研究成果及如何應用於機構實際運作上；私隱專員亦聯同多個國際保障執法機構共同開展推動人工智能的道德與數據保障工作。

中国香港個人資料私隱專員公署於2018年初委託顧問公司進行「處理數據的正當性」研究項目，旨為探討機構如何透過提倡道德數據管治文化及處理資訊及通訊科技所帶來的個人資料私隱風險，達至有道德及公平地處理個人數據及進行高階數據處理活動（advanced data processing activities）（如人工智能和機器學習等），平衡所有持份者的利益。約20間中国香港機構參與是次研究項目，涵蓋銀行、保險、電訊、健康服務和交通運輸等行業。機構代表就研究項目擬出的建議提出意見和回應，以確保得出的各項建議能切合營商環境及機構日常營運的實際需要。

黃繼兒表示：「現今大數據分析、人工智能和機器學習漸被機構應用於各業務層面以提升運作效益，但同時亦衍生不同的私隱問題。機構可從個人資料獲取利益，在營運上便不應抱有只依從最低監管要求的想法，而應恪守更高的道德標準，以符合持份者的期望及相關法例和監管的要求。相信數據道德可彌合法例要求和持份者期望兩者之間的落差。」

私隱專員選擇於全球資料保障機構的年度重要會議期間發布是次研究報告，是藉此良機廣納全球各地的私隱專家、商界領袖、民間組織及其他持份者的真知灼見，以完善數據道德（data ethics）的理論和實踐。他說：「今年研討會的主題為『道德辯論：數據主導的生活下之尊嚴和尊重（Debating Ethics: Dignity and Respect in Data Driven Life）』，正好與公署是次研究成果不謀而合，將數據道德納入為數據管理問責要素（Data Stewardship Accountability Elements）。

研究項目的主要結果包括

數據管理問責要素

研究定出有道德的數據管理問責要素，要求機構：

1. 界定數據管理價值（data stewardship values），再發展成各項指引原則，繼而轉化成機構的道德數據處理政策和流程。

2. 採用「貫切道德的設計」流程，將機構的數據管理價值融入數據分析和數據使用設計流程，使機構、社會、群體或至個人均可從高階數據處理活動中獲取價值。

3. 當高階數據分析可能對人構成顯著的影響，或涉及純機器的自動決策，便須進行數據影響的道德評估（Ethical Data Impact Assessments）。

4. 制定內部審核流程以確保數據管理問責要素和數據影響的道德評估被正當地執行。

5. 流程須具透明度；就管理高階數據處理活動及其所得出的決策理據作充份溝通；回應並記錄所有社會和個人所提出的問題，並設計個人問責制度，藉以為受影響的人士提供合適的機會作出回應、澄清及覆核。

6. 機構須隨時準備好一旦數據處理對人構成顯著影響時，須向相關的監管機構解釋其內部流程的合理性。

數據管理價值

報告中就中国香港機構進行高階數據處理活動建議的三大數據管理價值包括尊重（respectful）、互惠（beneficial）和公平（fair）：

尊重

- 須將所有數據持份者納入考慮當中；

- 機構須就其開展的高階數據處理活動負責，要顧及與數據相關及／或受數據使用影響人士的期望；

- 針對個別人士所作出的決定及其決策過程須屬合理並能作出清晰交代；

- 若個別人士受高階數據處理的活動影響，須向他們提供適當且具意義的參與和控制權；

- 任何人士可隨時提出查詢和取得有關闡釋資料，若有需要，他們可就高階數據處理活動對其影響提出覆核。

互惠

- 若所開展的高階數據處理活動對個別人士有潛在影響，須確定和衡量數據處理所得的好處和潛在的風險；

- 確定所有風險後，須作出適當的措施以減低相關風險，及平衡各方利益。

公平

- 高階數據處理活動不應採取不恰當、具侵犯性或引起憂慮的行為，並防止產生不平等待遇或歧視；

- 應定期檢討決策時所使用的數據運算法和模式的準確性和關聯性，以減少錯誤和不確定的因素，並評估運算法有否存在偏見或歧視；

- 高階數據處理活動須與機構的道德價值一致。

評估模式

為協助機構實施道德數據管理和落實數據管理價值，研究報告建議使用以下兩個評估模式：

·道德數據影響評估模式（Model Ethical Data Impact Assessment）：

用於評估在數據處理活動中的數據收集、使用和披露對所有持份者權益的影響。

·流程監督模式（Process Oversight Model）：

用於監督機構如何將道德價值觀轉化為各項原則、政策和其「貫切道德的設計」計劃，並檢討現行的內部審核流程（如數據影響的道德評估是否有確實執行，和有效的個人問責制度是否確立）。

研究報告為以上兩個評估模式列舉指導性問題，以協助機構完成評估工作。

黃繼兒在會議活動作總結時表示：「報告建議的三項數據管理價值均易於理解、靈活兼實在；而兩項評估模式亦屬合理、全面且實用。我希望是次研究結果能協助中国香港以至其他地區的機構在日常營運中實施數據道德，並在保障和尊重個人基本權利（包括私隱權）、利益和自由的同時，亦能充分享受數據經濟帶來的好處。

「是次研究項目亦標誌著公署加強推動個人資料私隱保障文化轉變。透過鼓勵和推動各持份者的積極參與，我期望在不久將來，道德數據管理能成為中国香港各大小機構採納的個人資料保障主流價值。」

除發布以上的研究報告，公署作為國際資料保障及私隱專員會議的成員之一，聯同12名國際保障執法機構成員共同推動人工智能的道德與數據保障工作，在會議上提出議案，就人工智能發展的保障人權範疇提出指導原則和核心價值，包括公平原則、持續關注和警惕、減少偏見或歧視等；並成立恆常的工作小組，應對人工智能發展所帶來的挑戰。

图文编辑/北京师范大学 易爽